Leergang Functionaris gegevensbescherming Zorg: de toezichthouder mw mr Loes Markenstein NCI, 17 mei 2018
Opzet De Autoriteit persoonsgegevens: transformatie In AVG veel aandacht voor onafhankelijke positie van de nationale toezichthouder In AVG uitbreiding van taken van de nationale toezichthouder In AVG veel aandacht voor samenwerking van nationale toezichthouders in EU-verband De FG, the one in the middle? Intermediair (vooruitgeschoven post, klokkenluider)
De Autoriteit Persoonsgegevens: transformatie wisselwerking met verantwoordelijken Register verwerkingsactiviteiten ipv meldplicht verwerkingen bij AP Verantwoordingsplicht Privacy by design/default Beveiligingsplicht Verwerkingsovereenkomsten DPIA (GBEB) Uitbreiding verplichte aanstelling FG s Meldplicht datalekken (in NL al sinds 2016) Boetebevoegdheid (in NL al sinds 2016)
Autoriteit Persoonsgegevens in de AVG In elke lidstaat onafhankelijke overheidsinstantie belast met toepassing van deze verordening (art 51) Volledig onafhankelijk optreden bij de uitvoering van taken en de uitoefening van bevoegdheden (art 52) Beschikking over personele, technische en financiële middelen nodig voor effectief uitvoeren van taken (art 52) Transparante benoemingsperiode, ontslagbescherming (art 53) Bijdrage van die toezichthoudende autoriteit aan consequente toepassing van deze verordening in gehele Unie (art 51) Competentie op grondgebied lidstaat (art 55) Competentie als leidende toezichthoudende autoriteit bij grensoverschrijdende gegevensverwerking (art 56, bij hoofdvestiging of enige vestiging)
Taken AP in AVG (1) Taken (art 57) monitoring en handhaving toepassing publieksvoorlichting over risico s, regels, waarborgen en rechten advies over wetgeving voorlichting verwerkingsverantwoordelijken en verwerkers over verplichtingen desgevraagd informeren betrokkene over rechten klachtenbehandeling betrokkenen, organisaties samenwerking met andere DPA s, delen van informatie en wederzijdse bijstand onderzoeken naar toepassing verordening volgen relevante ontwikkelingen
Taken AP in AVG (2) Taken (art 57) vaststelling standaardbepalingen lijst mbt vereisten gegevensbeschermingseffectbeoordeling advies over hoog risico verwerkingsactiviteiten bevorderen opstellen gedragscodes bevorderen invoering certificeringsmechanismen periodieke toetsing van certificeringen goedkeuring bindende bedrijfsvoorschriften bijdragen aan activiteiten Comité bijhouden interne registers van inbreuken op verordening alle andere taken die verband houden met bescherming persoonsgegevens
Bevoegdheden AP in AVG (1) Bevoegdheden (artikel 58, lid 1 en lid 3) Verstrekking alle relevante informatie Onderzoek in vorm van gegevensbeschermingscontroles Toetsing van certificaten Inlichten over beweerde inbreuk op verordening Toegang tot alle persoonsgegevens Toegang tot bedrijfsruimtes Advisering ivm voorafgaande raadpleging Advisering ivm aangelegenheden bescherming persoonsgegevens Goedkeuring van gedragscodes Accreditatie certificeringsorganen Afgifte certicaten en goedkeuring certificeringscriteria Aannemen standaardbepalingen, contractbepalingen, administratieve regelingen en bindende bedrijfsvoorschriften Bijkomende bevoegdheden in nationale wetgeving
Bevoegdheden AP in AVG (2) Corrigerende maatregelen (artikel 58, lid 2) Waarschuwing dat voorgenomen verwerking waarschijnlijk inbreuk op bepalingen van verordening maakt Berisping indien verwerkingen inbreuk op bepalingen van verordening maakt Gelasten dat verzoeken van betrokkenen tot uitoefening rechten wordt ingewilligd Gelasten op een nader bepaalde manier en binnen een nader bepaalde termijn de verwerking in overeenstemming te brengen met de verordening Gelasten om inbreuk aan betrokkene mee te delen Opleggen van een tijdelijke of definitieve verwerkingsbeperking Gelasten van rectificatie of wissing of beperking van verwerking Intrekken certificering Opleggen administratieve geldboete Opschorting gegevensstroom naar derde land
AP in Uitvoeringswet AVG Artikel 7: leden en buitengewone leden, raad van advies (spreiding over onderscheiden sectoren van de maatschappij) Artikel 10: secretariaat aangesteld door AP Artikel 14: alle taken bij of krachtens verordening toegekend Artikel 19: samenwerking met andere toezichthouders in NL
Samenwerking AP s in AVG Samenwerking (art 60, 61 en 62) Coherentie (art 63 67) Europees Comité voor gegevensbescherming (art 68-76) samenstelling: vz s DPA s en Europese Toezichthouder uitvaardigen richtsnoeren bevorderen opstellen gedragscodes en certificeringsmechanismen beoordeling beschermingsniveau landen buiten EU
De FG, the one in the middle? Taken FG (art 39) informeren en adviseren over verplichtingen toezien op naleving verordening, toewijzing verantwoordelijkheden, bewustmaking en opleiding adviseren mbt de gegevensbeschermingseffectbeoordeling samenwerking met AP optreden als contactpersoon voor de AP
De FG, the one in the middle? (Nog steeds) veel abstracte normen in AVG, coherente uitleg op niveau EU vergt tijd, met bijbehorende rechtsonzekerheid Hoe concreet of abstract is de informatie die te verkrijgen is bij de AP? Welke rol speelt FG bij vertaalslag (vraag aan AP, antwoord van AP? Afschuiven van verantwoordelijkheid naar FG Verschuilen achter FG Informatie van FG aan AP, uit eigen beweging of desgevraagd?